沒有記取教訓! 美國國防部的機密資訊又在Amazon S3上曝光

繼揭露美國國防部的全球社交網路監控情資在Amazon S3曝光後，資安業者UpGuard周二（11/28）指出又在Amazon S3雲端儲存服務上發現隸屬於美國陸軍情報暨安全司令部（ United States Army Intelligence and Security Command，INSCOM）的機密資料。

INSCOM為美國陸軍（US Army）與國安局（NSA）共同成立的機構，負責蒐集各種軍事與政治情報。UpGuard的網路風險研究總監Chris Vickery是在今年9月於Amazon S3看到這個可公開存取的儲存貯體，它內含了47個可供檢視的檔案與文件夾，當中有3個還開放下載。

Vickery顯然下載了這3個檔案，並發現它們存放了國家安全資料，有一些明顯屬於機密資料。其中一個最大的檔案為甲骨文虛擬裝置（.ova），內含一個虛擬硬體與Linux作業系統，但只能在功能狀態下瀏覽，既無法執行作業系統，且多數的資料必須透過國防部網路才能存取。

然而，此一ova檔案的部份區域直接被列為「最高機密」（Top Secret），還有些區域被列為不可與外國情報組織分別的「NOFORN」等級，並透露了外包商Invertix的資訊，包括Invertix用來存取情報系統的私鑰與雜湊密碼。

根據UpGuard的判斷，此一虛擬硬碟是用來接受、傳送與處理機密資料，亦整合了紅色磁碟（Red Disk）專案。

美國國防部斥資數千萬美元所建立的紅色磁碟專案是為了可即時自雲端供應情報至遠方戰士所使用的平板電腦或筆電上，只是它從未被完整地部署。

另外兩個可供下載的檔案則分別是ova檔案的說明文件，以及情報分析的訓練文件。

Vickery認為，從檔案的機密等級來看，INSCOM顯然非常重視這批檔案，卻輕乎地把它們擺在可公開存取的雲端服務上，也提醒第三方合作夥伴可能成為企業資安的隱形殺手，暗指Invertix為外洩這批檔案的元兇。